Windows server 2022 лицензирование rdp

В первую очередь требуется установить ОС Windows Server 2022. В данной инструкции у нас она уже установлена на виртуальной машине.

Минимальные требования:

• 64-разрядный процессор с тактовой частотой 1,4 ГГц.
• ОЗУ 512 МБ (2 ГБ для варианта установки Сервер с рабочим столом).
• Диск 32 ГБ.
• Доступ к интернету..

Бесплатный сервер 1С для подписчиков нашего telegram-канала !

После запуска Windows Server 2022, мы устанавливаем роли для настройки терминального сервера и шлюза удаленных рабочих столов.

Заходим в Диспетчер серверов → добавить роли и компоненты.

В оснастке Мастер добавления ролей и компонентов:

• Тип установки — установка ролей и компонентов.
• Роли сервера — службы удаленных рабочих столов.

Добавляем роли на сервере:

• Тип установки — Установка ролей или компонентов.
• Выбор сервера — Выбираем наш текущий сервер.
• Роли сервера — Службы удаленных рабочих столов.
• Службы ролей — Лицензирование удаленных рабочих столов, шлюз удаленных рабочих столов.

Подтверждаем установку компонентов и нажимаем Установить. Перезагружаем сервер.

Настройка сервера лицензирования

Заходим в Диспетчер серверов → Средства → Remote Desktop Services → Диспетчер лицензирования удаленных рабочих столов.

В диспетчере нажимаем ПКМ на наш сервер и выбираем Активировать сервер.

Попадаем в Мастер активации сервера, выбираем метод подключения Авто, вводим свои данные и нажимаем Далее.

В следующем пункте вводим Сведения об организации и нажимаем Далее.

Завершение работы мастера активации сервера выполняется с поставленной галочкой Запустить мастер установки лицензий чтобы попасть в оснастку установки лицензий.

В мастере установки лицензий появятся параметры сервера лицензирования, жмём Далее.

Лицензию выбираем в зависимости от того, какая у вас имеется.

Есть следующие типы лицензии:

• Пакет лицензий (в розницу).
• Соглашение Open License.
• Соглашение Select License.
• Соглашение Enterprise Agreement.
• Соглашение Campus Agreement.
• Соглашение School Agreement.
• Лицензионное соглашение постановщика услуг.
• Другое соглашение.
• Лицензия Select Plus.

В нашем случае мы выбираем Соглашение Enterprise Agreement.

• Выбираем версию продукта Windows Server 2022.
• Тип лицензии — Клиентская лицензия служб удаленных рабочих столов на устройство.
• Количество ставим в зависимости от приобретенной вами лицензией. В нашем случае мы активируем на 10 устройств.

В завершение установки осталось выполнить добавление групповых политик, для этого нажимаем Win+R (или ПКМ по меню Пуск и выбираем Выполнить).

В окне Выполнить вводим gpedit.msc и нажимаем ОК.

Попадаем в Редактор локальной групповой политики. Здесь требуется править две записи. Для того, чтобы указать сервер лицензирования, мы переходим в пункт: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Служба удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Лицензирование → Использовать указанные серверы лицензирования удаленных рабочих столов>.

Включаем данную политику и вводим требуемый сервер лицензирования. В нашем случае мы будем ссылаться на свой локальный сервер 127.0.0.1 и применяем настройку.

Для второго пункта мы переходи по следующему пути: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Служба удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Лицензирование → Задать режим лицензирования удаленных рабочих столов.

Включаем политику и указываем режим лицензирования, в нашем случае мы активируем на устройство и применяем настройку.

Далее обновляем групповую политику. Для этого открываем строку Выполнить посредством нажатия комбинации Win+R, вводим команду gpupdate /force, жмём Enter.

Настройка по установке лицензий прошла успешно, далее мы настраиваем шлюз удаленных рабочих столов.

Настройка шлюза удаленных рабочих столов

Шлюз удаленных рабочих столов — это сервис-посредник между клиентами из внешней сети и сеансов внутренней сети, обеспечивает безопасный обмен данными между ними и прослушивает порт 443.
Заходим в Диспетчер серверов → Средства → Remote Desktop Services → Диспетчер шлюза удаленных рабочих столов. Нажимаем ПКМ по папке Политики и выбираем Создание новых политик авторизации. Откроется Мастер создания новых политик авторизации.

Далее выбираем следующие пункты:

• Политики авторизации — Создать политику авторизации подключений к удаленным рабочим столам и авторизации ресурсов удаленных рабочих столов.
• Политика авторизации подключений — пишем наименование политики (в нашем случае Users).
• Требования — выбираем членство в группе для пользователей или компьютеров, которые смогут подключаться к серверу (в нашем случае, мы добавили группу пользователей Пользователи удаленного рабочего стола и Администраторы).
• Перенаправление устройств — выбираем, что требуется перенаправить (мы выбрали Включить перенаправление устройств для всех клиентских устройств).
• Время ожидания сеанса — по умолчанию.
• Сводка по политике авторизации подключений к RD — параметры которые будут созданы в данной политике.
• Политика авторизации ресурсов — пишем наименование политики (в нашем случае TS).
• Группы пользователей — выбираем членство в группе для пользователей или компьютеров, которые смогут подключаться к серверу (в нашем случае, мы добавили группу пользователей Пользователи удаленного рабочего стола и Администраторы).
• Сетевой ресурс — можем настроить группу терминальных серверов, куда можно подключиться, выберем Разрешить подключение пользователей к любому ресурсу (компьютеру).
• Разрешенные порты — если настроен нестандартный порт, то в этом пункте можно это указать, выбираем Разрешить подключение только к порту 3389.
• Сводка по политике авторизации ресурсов RD — параметры которые будут созданы в данной политике.

На данном этапе мы завершили настройку шлюза удаленных рабочих столов, за исключением установки сертификата.

Для того, чтобы установить сертификат на шлюз удаленных рабочих столов, мы воспользуемся утилитой win-acme.

Установка сертификата на шлюз удаленных рабочих столов через Let’s Encrypt

Скачиваем программу win-acme.

Копируем в папку C:\Scripts\win-acme.

Создаем 2 bat-файла:

Файл C:\Scripts\win-acme\Register.bat:

@echo off

rem powershell.exe

:: Ввод данных:
set /p commonname_Data="Enter Domain name(exampe : v0162.esit.info) : "
powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "Get-WebBinding |  Remove-WebBinding"
powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "New-WebBinding -Name 'Default Web Site' -Port 443 -Protocol https   -SslFlags 0 -IPAddress "*" -HostHeader "*" "
powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "New-WebBinding -Name 'Default Web Site' -Port 80 -Protocol http   -IPAddress "*" -HostHeader "*" "
powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "Set-WebBinding -Name 'Default Web Site' -BindingInformation "*:443:*" -PropertyName  HostHeader  -Value '%commonname_Data%'"
powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "Set-WebBinding -Name 'Default Web Site' -BindingInformation "*:80:*" -PropertyName  HostHeader  -Value '%commonname_Data%'"
@echo on
"C:\Scripts\win-acme\wacs.exe" --installation script --target iissite --siteid 1 --commonname %commonname_Data% --emailaddress admin@admin --accepttos --script "./scripts/PSScript.bat" --scriptparameters "./scripts/ImportRDGateway.ps1 {5}"

Файл C:\Scripts\win-acme\Scripts\PSScript.bat:

powershell.exe -ExecutionPolicy RemoteSigned -File %*

• После этого запускаем C:\Scripts\win-acme\Register.bat.
• Вводим домен на котором находится наш шлюз удаленных рабочих столов.
• Если всё получилось, то в оснастке шлюза удаленных рабочих столов должен появится созданный сертификат, а в консоли — готовый результат.

Подключение пользователей

Следующем этапом мы создаем пользователей для подключение к удаленному рабочему столу через шлюз удаленных рабочих столов.

Вводим требуемые поля: пользователь и пароль.

• В меню пуск находим оснастку Управление компьютером.
• Нажимаем папку Локальные пользователи.
• Выбираем папку Пользователи, нажимаем ПКМ → Новый пользователь.

Создаем нового пользователя, убираем срок действия пароля (если нужно) и добавляем его в группу Пользователи удаленного рабочего стола, для этого заходим в Панель управления → Система → Настройка удаленного рабочего стола → Выбрать пользователей → Добавить.

Добавляем созданных пользователей, после чего подключаемся к серверу.

На машине, с которой будем подключаться к серверу, ищем утилиту Подключение к удаленному рабочему столу на Windows 10 она находится по следующему расположению: Пуск → Стандартные → Windows → Подключение к удаленному рабочему столу.

В открытом окне вводим имя нашего сервера или локальный ip-адрес. В нашему случае имя сервера EFSOL-IT. Пользователя указываем, которого создали (EFSOL-IT\user001).

Далее, чтобы указать адрес шлюза удаленных рабочих столов, переходим во вкладку Дополнительно нажимаем Параметры вводим в окне Имя сервера.

Нажимаем ОК → Подключить.

При подключении к удаленному рабочему столу может появиться сообщение о сертификате, мы на него соглашаемся.

Установка терминального сервера произведена и шлюз удаленных рабочих столов успешно настроен.

Нужна помощь? Настройки Windows Server и обслуживание серверов мы осуществляем в рамках услуги ИТ-аутсорсинг. Также возможны разовые проектные работы.

И так, нами всеми, любимый и не мерянно дорогой Microsoft Windows Server. О стоимости его лицензии можно только думать, особенно, на фоне множества бесплатных решений.

Одна из основных задач серверов для корпоративного сегмента — это терминальный сервер. «На него часто ставят» 1С и другое ПО для учета, а так же размещают информацию для общего пользования или то, что надо быстро скрыть от лишних глаз.

Сервер терминалов Windows требует лицензирования. Есть бесплатный период на 120 (90 для MS Windows Server 2000) дней, после чего «железка» остается доступной только админам и то монопольно.

Благо продукция Microsoft настолько дорога, что даже ее сотрудникам за это становиться стыдно и они добродушно оставляют лазейки. Вот одна из них: «6 шагов к лицензиям для терминального сервера». Процедуру установки описывать не буду, считаем что у вас установлена «служба удаленных рабочих столов» и «сервер лицензирования». Так же картинки понятные скрины комментировать не буду.

1.  Входим в диспетчер лицензирования удаленных рабочих столов

2. Активируем сервер

3. Вводим любые учетные данные

4. Выбираем тип лицензии: Соглашение Enterprise Agreement

5. Указываем номер соглашения: 4965437

6. Выбираем вашу версию продукта и тип лицензии «на пользователя», можно и на устройство, но тогда есть вероятность их исчерпать, и указываем количество желаемых лицензий (более 9999 увы нельзя)

Для чистой совести можно перезагрузить Сервер. Пользуемся!

Windows Server 2022 — это последняя версия операционной системы от Microsoft для серверов. Она предлагает множество новых функций и улучшений, а также важные обновления в области безопасности. Одной из ключевых возможностей Windows Server 2022 является лицензирование RDP (Remote Desktop Protocol), которое позволяет удаленным пользователям подключаться к серверу и работать с ним.

Когда дело доходит до лицензирования RDP, есть несколько вариантов, из которых выбрать. Один из них — это лицензирование RDP для удаленных рабочих столов. В этом случае лицензии приобретаются на каждый удаленный компьютер, с которого планируется подключение к серверу. Каждый удаленный пользователь должен иметь свою собственную лицензию RDP.

Другой вариант — это лицензирование RDP для сеансов. В этом случае лицензии приобретаются на каждый сеанс RDP, который осуществляется на сервере. Один пользователь может иметь несколько сеансов, но каждый из них должен быть лицензирован отдельно. Это может быть удобно, если у вас есть группа пользователей, которым нужно удаленно работать с сервером, но у них нет собственных компьютеров.

Важно отметить, что Windows Server 2022 по-прежнему поддерживает модель лицензирования по устройству и по пользователю. В случае лицензирования RDP, это означает, что вы можете приобрести лицензии на каждое устройство или на каждого пользователя, которые будут использовать удаленный рабочий стол или сеансы RDP. Выбор модели лицензирования зависит от ваших конкретных потребностей и бюджета.

Windows Server 2022: новая лицензия RDP

Одним из ключевых изменений является то, что теперь лицензия RDP включена в состав ОС Windows Server 2022. Это означает, что приобретая лицензию на саму операционную систему, вы автоматически получаете право использовать RDP для подключения к серверу.

Кроме того, с Windows Server 2022 появилась новая модель лицензирования RDP. Теперь вместо предыдущей системы соединений и CAL-лицензий, лицензирование RDP основано на количестве пользователей, которые могут одновременно подключаться к серверу.

Для получения прав на использование RDP необходимо приобрести лицензии на Windows Server 2022 соответствующего уровня. Есть несколько вариантов лицензий, которые позволяют подключать разное количество пользователей:

• Стандартная лицензия Windows Server 2022 — позволяет одновременное подключение к серверу до 16 пользователей;
• Данныецентра лицензия Windows Server 2022 — позволяет одновременное подключение к серверу неограниченному количеству пользователей.

Таким образом, можно выбрать нужную лицензию с учетом предполагаемой нагрузки на сервер и количества пользователей, необходимых для подключения.

Учитывая эти изменения в лицензирование RDP, приобретать дополнительные CAL-лицензии на RDP для Windows Server 2022 больше не требуется. Однако, необходимо убедиться, что корпоративная политика и требования лицензирования Microsoft соблюдаются при использовании RDP.

Технические особенности RDP в Windows Server 2022

1. Улучшенная производительность

Windows Server 2022 предоставляет улучшенные возможности для работы с RDP, обеспечивая более быстрое и стабильное подключение к удаленному рабочему столу. Новые алгоритмы сжатия данных и оптимизированный протокол RDP позволяют уменьшить задержку и повысить отзывчивость пользовательского интерфейса.

2. Поддержка множества пользователей

Windows Server 2022 позволяет одновременно подключаться к удаленному рабочему столу нескольким пользователям. Это особенно полезно для организаций, где несколько пользователей должны иметь доступ к одному серверу.

3. Улучшенная безопасность

Windows Server 2022 предлагает расширенные возможности безопасности при использовании RDP. Это включает в себя функции, такие как двухфакторная аутентификация и возможность настройки сложных паролей для подключения к удаленному рабочему столу. Кроме того, в новой версии Windows Server 2022 внедрены меры защиты от вредоносного ПО и утечек конфиденциальной информации.

4. Улучшенный масштабируемый интерфейс

Windows Server 2022 поддерживает высокое разрешение и масштабирование интерфейса при подключении к удаленному рабочему столу. Это позволяет оптимально использовать пространство экрана и обеспечивает комфортную работу пользователей даже на устройствах с высоким разрешением.

Все эти технические особенности делают использование RDP на Windows Server 2022 более эффективным, безопасным и удобным для пользователей.

Изменения в лицензировании RDP в Windows Server 2022

Windows Server 2022 внес изменения в процесс лицензирования RDP (Remote Desktop Protocol), что привело к изменению правил использования этой технологии.

В новой версии Windows Server 2022 был отменен ранее существовавший 120-дневный период ознакомительного использования RDP. Теперь для использования RDP в коммерческих целях необходима лицензия.

Кроме того, Windows Server 2022 предлагает два типа лицензий для использования RDP:

• Удаленное управление — эта лицензия позволяет пользователю удаленно управлять сервером через RDP, но не предоставляет возможности сессионного источника.
• Сеанс RDP — эта лицензия предоставляет возможность пользователю устанавливать сессии RDP и предоставлять удаленным пользователям доступ к серверу.

Пользователи, которые планируют использовать RDP в Windows Server 2022, должны приобрести соответствующую лицензию в зависимости от своих потребностей.

Важно отметить, что использование RDP без лицензии может привести к нарушению законодательства об авторских правах и привлечь правовую ответственность.

Если вы планируете использовать RDP в коммерческих целях, рекомендуется ознакомиться с новыми правилами лицензирования в Windows Server 2022 и приобрести соответствующую лицензию для обеспечения законного использования технологии.

Эта большая инструкция посвящена особенностям установки, настройки и эксплуатации фермы терминальных серверов на базе роли Remote Desktop Services (RDS) в Windows Server. Статья поможет вам развернуть службы удаленных столов на Windows Server 2022, 2019 и 2016 в домене Active Directory.

Компоненты Remote Desktop Services в Windows Server 2022/2016/2016/2012R2

В состав роли RDS в Windows Server входя следующие компоненты:

• Remote Desktop Session Host (RDSH) – узлы сеансов RDS. Основные рабочие лошадки фермы RDS, на которых работают приложения пользователей;
• Remote Desktop Connection Broker (RDCB) – посредник RDS подключений. Используется для управления фермой RDS, распределения нагрузки, обеспечивает переподключение пользователей к своим сеансам, хранит коллекции RDS и опубликованные приложения RemoteApps;
• Remote Desktop Gateway (RDGW) – обеспечивает безопасный доступ к сервисам RDS из Интернета;
• RD Web Access (RDWA) – веб интерфейс для доступа к рабочим столам, программам RemoteApp;
• Remote Desktop Licensing (RD Licensing) — служба лицензирования, управляет RDS лицензиями (CAL) пользователей.

В нашем небольшом стенде будут всего три сервера со следующим распределением ролей

• msk-rds1.winitpro.ru
  — RDSH
• msk-rds2.winitpro.ru
  – RDSH
• msk-rdsman.winitpro.ru
  – RDSH, RDWA, RDCB, RD License

Предварительные требования, которые нужно выполнить перед созданием RDS фермы:

1. Установите одинаковую версию Windows Server на все сервера, настроить их, и добавить в один домен AD;
2. Откройте консоль ADUC (
   dsa.msc
   ) и переместите все хосты с ролью RDSH в одну OU в AD. Так будет удобнее применять единые настройки через GPO;
3. Создайте в домене группу для RDSH серверов (например,
   msk-rdsh
   ) и добавьте в нее все хосты;
4. Если вы хотите использовать диски User Profile Disk (UPD) для хранения профилей пользователей RDS (или перемещаемые профили), нужно создать на файловом сервере сетевой каталог, в котором они будут хранится (желательно расположить этот каталог на отказоустойчивом файловом кластере Windows Server). Предоставьте права Full Control на этот сетевой каталог для группы
   msk-rdsh
   .

Создаем новую конфигурацию Remote Desktop Services в Windows Server

Рассмотрим, как создать и настроить RDS конфигурацию с помощью графического интерфейса Server Manager.

Откройте Server Manager и добавьте все планируемые RDS сервера в консоль. Щелкните All Server -> Add servers.

Теперь в меню Server Manager выберите Add Roles and Features -> Remote Desktop Services installation -> Standard deployment –> Session-based deployment.

Режим Quick Start используется для развертывания всех компонентов RDS на одном сервере. В RDS ферме минимум может быть один сервер, который совмещает все роли RDS (RD Session Host, RD Web Access и RD Connection broker). Но такая конфигурация не обеспечивает отказоустойчивость и балансировку нагрузки в службах удаленных рабочей столов Windows Server.

Далее нужно указать, как вы хотите распределить роли RDS по вашим серверам. В мастере построения фермы RDS нужно выбрать сервера для соответствующих ролей. В моем случае я хочу построить такую конфигурацию:

• RD Connection Broker –
  msk-rdsman
• RD Web Access —
  msk-rdsman
• RD Session hosts —
  msk-rdsman, msk-rds1, msk-rds2

Вы можете распределить RDS роли по серверам в любой другой конфигурации.

Поставьте галку Restart destination server automatically if required и нажмите кнопку Deploy. Дождитесь установки ролей RDS на всех серверах.

Итак, ваша ферма RDS создана.

Следующий этап установка и настройка сервера лицензирования RDS. Вы можете установить роль RD Licensing на один из серверов в вашей ферме или использовать существующий в домене сервер лицензирования RDS. Подробная инструкция по установке, настройке и активации роли RD Licensing доступа по ссылке.

Для управления вашим развертыванием RDS нужно перейти в раздел Server Manager -> Remote Desktop Services. На вкладке Overview показана текущая конфигурация RDS фермы.

Чтобы изменить настройки RDS фермы выберите Tasks -> Edit Deployment Properties в разделе Deployment Overview.

Здесь можно изменить:

• Параметры RD Gateway;
• Адрес сервер сервера лицензирования и тип пользовательских лицензий RDS CAL (per user/per device);
• Посмотреть URL адреса RD Web Access;
• Добавить SSL сертификаты для служб RDS (в инструкции мы пропустим этот пункт).

Для построения отказоустойчивой фермы Remote Desktop Services нужно обеспечить высокую доступность роли RD Connection Broker. Это достигается за счет запуска нескольких экземпляров RDCB (Active/Active) на разных серверах с общей базой данных SQL, в которой хранится конфигурация брокера подключений. Для обеспечения высокой доступности SQL базы RDCB ее можно размесить в группе высокой доступности SQL Server Always On. Ранее мы публиковали подробный гайд по настройке RDS Connection Broker с высокой доступностью.

Создаем коллекции Remote Desktop Services в Windows Server

Следующий этап настройки – создание коллекций сеансов RDS. Коллекции Remote Desktop позволяют разделить хосты в ферме RDSH на отдельные группы или создать разный набор настроек и доступных приложений Remote App для разных групп пользователей.

Перейдите в раздел Collections, выберите Edit -> Create Session Collection.

Здесь нужно задать:

1. Имя коллекции RDS:
   rds-Msk-Managers
2. Выберите какие хосты RDSH будут обслуживать пользователей коллекции (один RDSH хост может находиться в одной коллекций; не рекомендуется объединять в одну коллекцию сервера с разными версиями Windows Server);
3. На вкладке User Groups указываются группы пользователей, которым разрешено подключаться к коллекции. Уберите из групп Domain users и добавьте вашу группу (msk-Managers);
4. На вкладке User Profile Disk нужно указать, хотите ли вы использовать формат UPD для хранения профилей пользователей (Enable user profile disks). В поле Location of user profile disks укажите UNC путь к сетевому каталогу(например,
   \\msk-fs01\mskrds_upd
   ), в котором будут хранится профили пользователей в форматер UPD виртуальных дисков (в этом случае при входе на любой сервер коллекции RDS, пользователь будет всегда загружать свой профиль) и максимальный размер диска (20 Гб по умолчанию);
5. Нажмите Create чтобы создать новую RDS коллекцию;
6. Убедитесь, что в указанном каталоге создался UPD файл с шаблоном профиля пользователя UVHD-template.vhdx.

Чтобы задать параметры коллекции RDS, выберите ее и нажмите Tasks -> Edit Properties.

Здесь можно изменить базовые параметры коллекции (имя, описание, группы доступа) и ряд других важных настроек.

В разделе Session можно задать параметры переподключения/ автоматического отключения простаивающих RDP сессий (подробнее рассматривалось в статье Настройка таймаутов для RDP сессий).

На вкладке Security можно выбрать настройки безопасности (Negotiate, RDP Security level или SSL/TLS) и шифрования (Low, High, Client compatible или FIPS compliant) для сессий RDP. Здесь также можно включить/отключить Network Level Authentication для RDP.

В секции Load Balancing можно изменить веса (
Relative Weight
) RDSH хостов в вашей ферме. Если характеристики серверов (RAM, CPU) в коллекции сильно отличаются, нужно задать меньший вес для менее производительных серверов. В этом случае RDCB будет распределять сессии пользователей по серверам в зависимости от их веса.

На вкладке Client Settings можно указать, какие устройства пользователям разрешено пробрасывать в RDP сессию. Например, вы можете разрешить/запретить пробрасывать с локального компьютера пользователя в RDS сеанс принтера, сетевые диски, аудио устройства, буфер обмена.

В разделе User Profile Disks можно более тонко настроить параметры UPD профилей пользователей. Можно исключить из синхронизации определенные папки или файлы. Это позволит уменьшить размер профиля UPD в сетевом каталоге и увеличить скорость загрузки профиля (не забывайте, что он загружается по сети из сетевой папки при входе пользователя).

Настройка и эксплуатация UPD обычно гораздо проще, чем использование перемещаемых профилей или folder redirection. Один UPD профиль не может использоваться в разных коллекциях RDS.

Для уменьшения размера UPD диска пользователя можно использовать стандартный PowerShell командлет
Resize-VHD
, используемый для изменения размеров виртуальных VHDX дисков Hyper-V.

В секции HOST SERVERS коллекции RDS можно перевести любой сервер фермы в режим обслуживания RDSH (Drain Mode). Для этого щелкните по нему и выберите Do not allow new connection. В результате Connection Broker не будет отправлять новые подключения пользователей на этот сервер. В таком режиме вы можете спокойно установить обновления Windows или обновлять на сервере приложения, не затрагивая пользователей.

Здесь же можно добавить/удалить RDS Host из коллекции.

Если RDSH хост вышел из строя и не доступен, его можно корректно удалить из фермы Remote Desktop Services по этой инструкции.

Публикация RemoteApp в Remote Desktop Services

RemoteApps – это опубликованные для пользователей приложения на RDS серверах. Благодаря RemoteApp можно использовать приложения, установленные на терминальном RDSH сервере так, как будто оно запущено непосредственно на компьютере пользователя. Пользователь не видит всего рабочего стола Windows Server RDS и работает только с теми программами, которые опубликовал для него администратор. На компьютере пользователя будет отображаться только окно запущенной на RDS программы.

Если вы не создаете RemoteApp, пользователи будут работать непосредственно на собственных рабочих столах на Windows Server. Поэтому не забудьте скопировать все необходимые пользователю ярлыки приложений в папку C:\Users\Public\Desktop. Файлы из этой папки будут отображаться на рабочем столе всех пользователей. Если вы устанавливаете на RDSH пакет MS Office 365, обратите внимание что Office нужно разворачивать в режиме SharedComputerLicensing.

RemoteApp приложения создаются в настройках коллекций RDS. Выберите пункт Tasks -> Publish RemoteApp Programs в секции REMOTEAPP PROGRAMS.

Windows отобразит все приложения, установленные на текущем сервере. Можете выбрать одно из них. Если вашего приложения нет в списке, но оно установлено на других хостах RDS, нажмите кнопку Add и укажите полный путь к исполняемому файлу приложения (exe, bat, cmd и т.д.).

Опубликуйте приложение RemoteApp.

Затем в настройках RemoteApp можно указать дополнительные параметры приложения.

• Нужно ли показывать опубликованное RemoteApp приложение в веб интерфейсе RD Web Access;
• Задать параметры запуска (аргументы) приложения (Command-line Parameters -> Always use the following command-line parameters);
• На вкладке User Assignment можно дополнительно ограничить каким группам пользователей разрешено запускать приложение.

Если вы хотите изменить иконку опубликованного RemoteApp, нужно открыть следующую папку на сервере с ролью RDS Connection Broker:

C:\Windows\RemotePackages\CPubFarms\rds-Msk-Managers\CPubRemoteApps

Замените иконку приложения другим ico файлом.

Теперь пользователь может запустить RemoteApp приложение из RD Web Access (
https://msk-rdsman.wintpro.ru/RDWeb
) или с помощью специального RDP файла.

Для запуска опубликованного приложения RemoteApp, нужно добавить в RDP файл такие строки:

remoteapplicationmode:i:1
remoteapplicationname:s:putty
remoteapplicationprogram:s:"C:\Tools\putty.exe"
disableremoteappcapscheck:i:1
alternate shell:s:rdpinit.exe

Несколько полезных мелочей для удобной эксплуатации фермы RDS:

• Для роли RDWeb можно настроить поддержку HTML5, это позволит пользователям подключаться к RDS серверам из любого браузера и ОС даже без клиента RDP;
• На веб сервере RD Web Access можно опубликовать ссылку на смену истекшего пароля пользователя (по умолчанию при включенном NLA вы не сможете аутентифицироваться на RDSH с истекшим паролем пользователя Active Directory);
• Инструкция для пользователей по смене пароля в RDP сессии;
• Администратор может использовать теневые подключения RD Session Shadow для подключения/просмотра рабочего стола сеанса пользователя на сервере RDS;
• Чтобы быстро найти, на каких RDS серверах есть сессии определенного пользователя, можно использовать PowerShell:
  Import-Module RemoteDesktop
Get-RDUserSession -ConnectionBroker msk-rdsman.winitpro.ru | where {$_.UserName -eq "a.ivanov"} | Select HostServer
• Вы можете использовать PowerShell скрипты для просмотра и анализа логов RDP подключений пользователей к серверам RDS;
• Для дополнительной защиты можно настроить двухфакторную аутентификацию (2FA) пользователей на RDS серверах Windows с помощью сторонних средств.

Настройка фермы Remote Desktop services с помощью PowerShell

Если вы четко представляете себе концепцию RDS фермы, вы можете быстро разворачивать RDS конфигурацию с помощью PowerShell.

Следующие PowerShell команды для создания RDS фермы лучше запускать с другого на другом сервера, т.к. управляемые RDS хосты придется перезагружать.

Задайте имена серверов в вашей ферме RDS. В этом примере я установлю роли RDCB и RDS Licensing на отдельный сервер (в дальнейшем рекомендуется настроить отказоустойчивую конфигурацию RDCB).

$RDSH1 = "msk-rds1.winitpro.ru"
$RDSH2 = "msk-rds2.winitpro.ru"
$RDSCB = "msk-rdcb.winitpro.ru"
$RDSGW = "msk-rdsgw.winitpro.ru"
Import-Module RemoteDesktop

Установите RDS роли на сервера:

Add-WindowsFeature –ComputerName $RDSH1, $RDSH2 -Name RDS-RD-Server –IncludeManagementTools
Add-WindowsFeature –ComputerName $RDSCB -Name RDS-Connection-Broker -IncludeManagementTools
Add-WindowsFeature –ComputerName $RDSGW -Name RDS-Web-Access, RDS-Gateway –IncludeManagementTools

Перезагрузите все хосты:

Restart-Computer -ComputerName $RDSH1,$RDSH2,$RDSCB,$RDSGW

Создайте новый инстанс RDSessionDeployment:

New-RDSessionDeployment -ConnectionBroker $RDSCB -SessionHost $RDSH1,$RDSH2 –Verbose

Добавить в ферму сервера RDWA и RDGW:

Add-RDServer -Server $RDSGW -Role RDS-WEB-ACCESS -ConnectionBroker $RDSCB
Add-RDServer -Server $RDSGW -Role RDS-GATEWAY -ConnectionBroker $RDSCB -GatewayExternalFqdn "rds.winitpro.ru"

Текущее распределение RDS ролей по серверам фермы можно вывести так:

Get-RDServer -ConnectionBroker $RDSGW

Установка роли лицензирования RDS:

Add-WindowsFeature –ComputerName $RDSCB -Name RDS-Licensing, RDS-Licensing-UI

Задайте режим лицензирования PerUser:

Invoke-Command -ComputerName $RDSCB -ScriptBlock {Set-RDLicenseConfiguration -Mode PerUser -LicenseServer $RDSCB -ConnectionBroker $RDSCB}

Add-RDServer -Server $RDSCB -Role RDS-LICENSING -ConnectionBroker $RDSCB

Добавить сервер лицензирования в доменную группу с помощью Add-ADGroupMember:

Add-ADGroupMember "Terminal Server License Servers" -Members "msk-rdcb$"

Если у вас есть сертификат для RDS можно его добавить в конфигурацию фермы (можно использовать бесплатный SSL сертификат Let’s Encrypt для вашего RDS хоста):

Path = "C:\ps\RDSCert.pfx"
$Password = ConvertTo-SecureString -String "CertPAssddr0w11-" -AsPlainText -Force
Set-RDCertificate -Role RDGateway -ImportPath $Path -Password $Password -ConnectionBroker $RDSCB -Force
Set-RDCertificate -Role RDWebAccess -ImportPath $Path -Password $Password -ConnectionBroker $RDSCB -Force
Set-RDCertificate -Role RDPublishing -ImportPath $Path -Password $Password -ConnectionBroker $RDSCB -Force
Set-RDCertificate -Role RDRedirector -ImportPath $Path -Password $Password -ConnectionBroker $RDSCB -Force

Информацию об установленных SSL сертификатах можно получить так:

Get-RDCertificate

Теперь можно создать коллекции RDS:

$CollectionName = "DEVdept"
New-RDSessionCollection –CollectionName $CollectionName –SessionHost $RDSH1,$RDSH2 –ConnectionBroker $RDSCB –CollectionDescription “Develovers”

Разрешить доступ к RDS серверам для групп:

$UserGroup =@("WINITPRO\msk-developers","WINITPRO\msk_devops")
Set-RDSessionCollectionConfiguration -CollectionName $CollectionName -UserGroup $UserGroup

Опубликовать приложение RemoteAPP:

New-RDRemoteapp -Alias GoogleChrome -DisplayName GoogleChrome -FilePath "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -ShowInWebAccess 1 -CollectionName $CollectionName -ConnectionBroker $RDSCB

В статье мы рассмотрели, как установить и настроить ферму Remote Desktop Services на базе Windows Server 2019/2022 с помощью графического интерфейса Server Manager и с помощью PowerShell. За рамками статьи осталось более подробное описание ролей RD Web Access и RD Gateway. Мы рассмотрим настройку этих ролей отдельно в следующих статьях.

Windows Server 2022 – новейшая операционная система для серверов от Microsoft, которая предлагает множество нововведений и улучшений. Одной из ключевых особенностей Windows Server 2022 является Remote Desktop Protocol (RDP) – протокол удаленного рабочего стола.

RDP обеспечивает возможность удаленной работы с сервером Windows из любого устройства и любой точки мира. Однако, для использования RDP необходимо правильно лицензировать серверную операционную систему. В противном случае, вы можете столкнуться с ограничениями или даже нарушениями лицензионных условий использования.

В статье мы рассмотрим основные аспекты лицензирования RDP в Windows Server 2022. Вы узнаете о различных типах лицензий, правилах использования RDP, а также о том, как правильно оценить свои потребности в лицензировании для обеспечения эффективной и безопасной удаленной работы.

Будьте в курсе особенностей и правил лицензирования RDP в Windows Server 2022! Несоблюдение этих правил может привести к негативным последствиям, включая лишение доступа к серверу и нарушение авторских прав.

Особенности лицензирования RDP в Windows Server 2022

Windows Server 2022 предлагает несколько вариантов лицензирования для доступа через RDP (Remote Desktop Protocol). Это позволяет пользователям адаптировать лицензирование под свои потребности и бюджет. Вот основные особенности лицензирования RDP в Windows Server 2022:

Важно отметить, что для использования RDP в Windows Server 2022 требуется приобретение соответствующего типа лицензии. Правильное лицензирование является обязательным и важным шагом для соблюдения авторских прав и легального использования продукта.

Независимо от выбранного типа лицензии, Windows Server 2022 предлагает надежное и безопасное подключение к удаленному рабочему столу через RDP. Обеспечивается защита данных и конфиденциальности пользователя, а также возможность настройки и управления доступом и привилегиями через центр управления RDS.

Виды лицензий для RDP в Windows Server 2022

Windows Server 2022 предлагает несколько видов лицензий для использования удаленного рабочего стола (RDP). В зависимости от ваших потребностей и размера организации, вы можете выбрать следующие опции лицензирования:

1. Лицензии Remote Desktop Services (RDS) CAL:

Это классическая модель лицензирования, в которой каждый пользователь или устройство, имеющее доступ к удаленному рабочему столу, должно обладать лицензией RDS CAL. В Windows Server 2022 доступны два вида RDS CAL:

— User CAL: лицензия отдельного пользователя, позволяющая ему использовать удаленный рабочий стол с любого устройства.

— Device CAL: лицензия на устройство, позволяющая нескольким пользователям использовать удаленный рабочий стол через одно устройство.

2. Aссессорские лицензии:

В случае использования Azure Virtual Desktop (ранее известной как Windows Virtual Desktop), вы можете приобрести ассессорские лицензии. Они включаются в общую стоимость использования Azure и позволяют пользователям подключаться удаленно к виртуальным машинам без необходимости приобретать отдельные RDS CAL.

3. Windows Server Desktop Experience (DTE) лицензии:

Если вы предпочитаете использовать полную версию Windows Server для виртуальных рабочих столов, вам потребуются лицензии DTE. Одна лицензия DTE покрывает одну виртуальную машину с Windows Server и включает в себя право использования RDP.

При выборе видов лицензий для RDP в Windows Server 2022, рекомендуется обсудить варианты с вашим поставщиком лицензий или консультантом по IT, чтобы выбрать наиболее подходящее решение для вашей организации.

Как выбрать подходящую лицензию для RDP в Windows Server 2022

Когда дело касается выбора подходящей лицензии для RDP (удаленного рабочего стола) в Windows Server 2022, важно учитывать несколько факторов.

1. Количество пользователей

Определите, сколько пользователей будет использовать RDP в Windows Server 2022. Для каждого пользователя требуется лицензия CAL (Client Access License) RDS (Remote Desktop Services).

2. Вид лицензии

Выберите вид лицензии RDP, подходящий для вашей организации. Windows Server 2022 предлагает два варианта лицензирования RDP: Per User CAL (по пользователям) и Per Device CAL (по устройствам). В Per User CAL каждый пользователь получает свою собственную лицензию, которая позволяет ему подключаться к серверу с любого устройства. В Per Device CAL одно устройство получает лицензию, и любой пользователь может подключаться к серверу с этого устройства.

3. Объем лицензий

Проанализируйте, сколько лицензий CAL вам понадобится исходя из количества пользователей или устройств. Учтите потенциальный рост числа пользователей или устройств в будущем и приобретите достаточное количество лицензий.

4. Тип лицензирования

Решите, какой тип лицензирования RDP будет наиболее удобным для вашей организации. Windows Server 2022 предлагает два типа лицензирования: Retail и Volume Licensing. Retail-лицензии приобретаются напрямую в магазинах, а Volume Licensing — через корпоративные программы.

Важно провести тщательный анализ требований организации и определить самую оптимальную лицензию RDP в Windows Server 2022 для вашего бизнеса. Таким образом, вы обеспечите эффективное использование RDP и соблюдение лицензионных требований.

Стоимость и условия приобретения лицензий для RDP в Windows Server 2022

Windows Server 2022 предоставляет несколько опций для приобретения лицензий RDP, чтобы удовлетворить потребности различных организаций и бизнес-сценариев. Вот некоторые из них:

• RDS CALs (Remote Desktop Services Client Access Licenses) – это лицензии, которые приобретаются для устройств или пользователей, которые будут подключаться к сеансам RDP на сервере Windows Server 2022. RDS CALs предоставляются в двух вариантах: пользовательские и устройственные CALs.
• RDS SALs (Remote Desktop Services Subscriber Access Licenses) – это альтернативная модель подписки на RDS CALs. RDS SALs позволяют организациям получить доступ к RDP, оплачивая ежемесячную подписку вместо приобретения постоянной лицензии.
• Windows Server 2022 Datacenter – если ваша организация использует Server 2022 Datacenter Edition, она может предоставить неограниченное количество RDP-подключений без необходимости покупки дополнительных CALs. Это затратное решение, особенно для небольших организаций, но может быть выгодным для крупных предприятий.

Стоимость и условия приобретения зависят от выбранной модели лицензирования. RDS CALs и RDS SALs обычно продолжаются на постоянной основе, с возможностью приобретения дополнительных лицензий при необходимости. Цена также может варьироваться в зависимости от количества пользователей или устройств, которые будут подключаться к серверу.

В случае приобретения Windows Server 2022 Datacenter Edition, стоимость будет выше, учитывая его премиальные возможности и возможность неограниченного числа RDP-подключений.

Обратите внимание, что эти лицензии предоставляют доступ только к серверу Windows Server 2022. Если вы также планируете использовать удаленные рабочие столы на других операционных системах, например, Windows 10 или Windows 11, вам понадобятся дополнительные лицензии или подписки, соответствующие требованиям этих ОС.